<!--
  This file is a part of the open-eBackup project.
  This Source Code Form is subject to the terms of the Mozilla Public License, v. 2.0.
  If a copy of the MPL was not distributed with this file, You can obtain one at
  http://mozilla.org/MPL/2.0/.
  
  Copyright (c) [2024] Huawei Technologies Co.,Ltd.
  
  THIS SOFTWARE IS PROVIDED ON AN "AS IS" BASIS, WITHOUT WARRANTIES OF ANY KIND,
  EITHER EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO NON-INFRINGEMENT,
  MERCHANTABILITY OR FIT FOR A PARTICULAR PURPOSE.
  -->


<!DOCTYPE html
  PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html lang="zh-cn" xml:lang="zh-cn">
<head>
      <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
   
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="DC.Type" content="topic">
<meta name="DC.Title" content="创建实时侦测策略">
<meta name="product" content="">
<meta name="DC.Relation" scheme="URI" content="zh-cn_topic_0000001810100230.html">
<meta name="prodname" content="">
<meta name="version" content="">
<meta name="brand" content="00-OceanCyber 300 1.1.0 联机帮助">
<meta name="DC.Publisher" content="20241203">
<meta name="DC.Format" content="XHTML">
<meta name="DC.Identifier" content="ZH-CN_TOPIC_0000001856698993">
<meta name="DC.Language" content="zh-cn">
<link rel="stylesheet" type="text/css" href="public_sys-resources/commonltr.css">
<title>创建实时侦测策略</title>
</head>
<body style="clear:both; padding-left:10px; padding-top:5px; padding-right:5px; padding-bottom:5px"><a name="ZH-CN_TOPIC_0000001856698993"></a><a name="ZH-CN_TOPIC_0000001856698993"></a>

<h1 class="topictitle1">创建实时侦测策略</h1>
<div id="body0000001856698993"><p id="ZH-CN_TOPIC_0000001856698993__p8060118">参考本节创建实时侦测策略。</p>
<div class="section" id="ZH-CN_TOPIC_0000001856698993__section79121917135118"><h4 class="sectiontitle">操作步骤</h4><ol id="ZH-CN_TOPIC_0000001856698993__ol13790921131411"><li id="ZH-CN_TOPIC_0000001856698993__zh-cn_topic_0000001166366216_zh-cn_topic_0000001091431193_li1570821013536"><span>选择<span class="uicontrol" id="ZH-CN_TOPIC_0000001856698993__uicontrol1013362616330">“数据安全 &gt; 实时侦测”</span>。</span></li><li id="ZH-CN_TOPIC_0000001856698993__li146593571486"><span>单击<span class="uicontrol" id="ZH-CN_TOPIC_0000001856698993__uicontrol1366015794815">“实时侦测策略”</span>。</span></li><li id="ZH-CN_TOPIC_0000001856698993__li32591945115114"><span>单击<span class="uicontrol" id="ZH-CN_TOPIC_0000001856698993__uicontrol2037855314511">“创建”</span>。</span></li><li id="ZH-CN_TOPIC_0000001856698993__li69763543511"><span>填写实时侦测策略的名称。</span></li><li id="ZH-CN_TOPIC_0000001856698993__li10882141512523"><span>配置快照锁定策略。默认的快照锁定时间为2天，支持设置为1~14天。实时侦测生成的快照为安全快照。快照锁定期内无法对快照进行操作，锁定期结束后可在<span class="uicontrol" id="ZH-CN_TOPIC_0000001856698993__uicontrol16837185845314">“快照数据”</span>页面手动删除。</span></li><li id="ZH-CN_TOPIC_0000001856698993__li14569112365718"><span>选择是否启用<span class="uicontrol" id="ZH-CN_TOPIC_0000001856698993__uicontrol16371333155816">“误告警分析”</span>。“误告警分析”默认启用，启用后会提高检测准确率，但会延长检测时间。</span><p><ul id="ZH-CN_TOPIC_0000001856698993__zh-cn_topic_0000001335629021_ul111283417372"><li id="ZH-CN_TOPIC_0000001856698993__zh-cn_topic_0000001335629021_li2027514160382">若您对检测准确率要求更高，建议启用“误告警分析”。</li><li id="ZH-CN_TOPIC_0000001856698993__zh-cn_topic_0000001335629021_li14128441163716">若您对检测时间要求更高，建议不启用“误告警分析”。</li></ul>
</p></li><li id="ZH-CN_TOPIC_0000001856698993__li18813173105414"><span>（可选）开启诱饵侦测。开启诱饵侦测功能，会在选定的文件系统目录下生成诱饵文件，当侦测到异常时，系统对诱饵文件进行分析，确定文件系统是否受到勒索攻击或是用户误操作行为，以提升勒索病毒检测实时性，减少侦测误报率。</span><p><p id="ZH-CN_TOPIC_0000001856698993__p3443161417572">设置诱饵文件更新频率。</p>
<ul id="ZH-CN_TOPIC_0000001856698993__ul16631239155719"><li id="ZH-CN_TOPIC_0000001856698993__li463153945716">定期更新：选择每多少天更新一次诱饵文件。支持选择1~30天。定期更新可以按照最新的文件系统信息对诱饵文件进行自适应更新，提高诱饵文件勒索检测有效性。</li><li id="ZH-CN_TOPIC_0000001856698993__li12704164115815">不更新：不更新则诱饵文件无法进行自适应更新，可能导致诱饵文件勒索检测有效性降低。建议定期更新诱饵文件。<div class="note" id="ZH-CN_TOPIC_0000001856698993__note93251614132720"><img src="public_sys-resources/note_3.0-zh-cn.png"><span class="notetitle"> </span><div class="notebody"><ul id="ZH-CN_TOPIC_0000001856698993__ul63175180364"><li id="ZH-CN_TOPIC_0000001856698993__li9285152416365">诱饵检测功能开启会在共享目录下放置极少量诱饵文件进行勒索侦测，请勿对诱饵文件进行加密、删除、修改文件后缀等异常操作，会导致误报出现。</li><li id="ZH-CN_TOPIC_0000001856698993__li13301034153610">诱饵文件功能涉及扫描共享目录下文件的元数据信息。</li><li id="ZH-CN_TOPIC_0000001856698993__li4756142432911">存储设备的WORM功能开启后，诱饵文件可能会在共享目录下残留，WORM属于严格的数据保护机制，开启WORM后不建议开启诱饵侦测。</li><li id="ZH-CN_TOPIC_0000001856698993__li97191439161618">当用户消除勒索告警<strong id="ZH-CN_TOPIC_0000001856698993__b24821654142914">0x5F025D000F</strong>后，系统会自动重新部署诱饵文件，确保诱饵文件可用。</li><li id="ZH-CN_TOPIC_0000001856698993__li12521625164813">在实时侦测时，AA双活模式主从站点文件系统均允许开启诱饵侦测；AP、同步双活模式由于存储设备的限制，从站点文件系统只读，对应从站点的文件系统无法开启诱饵侦测。</li></ul>
</div></div>
</li></ul>
</p></li><li id="ZH-CN_TOPIC_0000001856698993__li5362122616287"><span>单击<span class="uicontrol" id="ZH-CN_TOPIC_0000001856698993__uicontrol915011148595">“确定”</span>。</span></li></ol>
</div>
</div>
<div>
<div class="familylinks">
<div class="parentlink"><strong>父主题：</strong> <a href="zh-cn_topic_0000001810100230.html">配置实时侦测（事中拦截）</a></div>
</div>
</div>

<div class="hrcopyright"><hr size="2"></div><div class="hwcopyright">版权所有 &copy; 华为技术有限公司</div></body>
</html>